问题描述SVN5630配置SSL-VPN业务,客户端每隔二十分钟就会与总部断开连接,导致终端的刷卡软件无法正常访问总部服务器业务,无法刷卡
处理过程1、分析整网拓扑,总部出口为USG防火墙,SVN设备单线旁挂在USG防火墙上,客户端数据到达服务器需要经过USG防火墙
2、考虑是长连接的问题,在Svn和USG防火墙设备上配置长连接策略,再次测试,故障依然存在。
3、在终端上抓包,分析长时间不通信后的刷卡抓包,终端直接发出TCP载荷报文,未收到响应,并在随后的35秒时间内重传7次,且都未收到响应。
USG防火墙流统显示有丢包,丢包原因是首包状态检测失败。防火墙默认开启链路状态检测功能,如果TCP会话已经老化,那么该TCP连接的后续报文到达防火墙时,就会被防火墙丢弃。防火墙TCP默认老化时间为1200秒(20分钟),在没有报文交互的20分钟后,TCP会话就会被清除。此后,如果终端直接发送TCP载荷报文(非syn,syn ack报文),就会被防火墙链路状态检测认为为非法报文而丢弃。
Protocol(TCP)
SourceIp(192.168.202.9) DestinationIp(10.76.150.100)
SourcePort(3141)
DestinationPort(1521) VpnIndex(public)
RcvnFrag
RcvFrag Forward
DisnFrag DisFrag
Obverse(pkts)
: 60
0
52
8
0
Reverse(pkts)
: 53
0
53
0
0
Discard
detail information:
FIRSTPACKET_STATUS_CHECK_1
: 8
TCP
sequence information:
Obverse(hex)
: e9723586-e97259ae
FirstSetPointSeq(hex)
:0
LastSetPointSeq(hex)
:0
Overlap
:7
Reverse(hex)
: cce50a27-cce56502
FirstSetPointSeq(hex)
:cce56470
LastSetPointSeq(hex)
:cce56470
Overlap :0
Protocol(TCP)
SourceIp(192.168.202.9) DestinationIp(10.76.150.100)
SourcePort(2676)
DestinationPort(1521) VpnIndex(public)
RcvnFrag
RcvFrag Forward
DisnFrag DisFrag
Obverse(pkts)
: 20
0
12
8 0
Reverse(pkts)
: 16
0
16
0
0
Discard
detail information:
FIRSTPACKET_STATUS_CHECK_1 :
8
TCP
sequence information:
Obverse(hex)
: 579734ac-57973bac
FirstSetPointSeq(hex)
:0
LastSetPointSeq(hex)
:0
Overlap
:7
Reverse(hex)
: f5d3f39b-f5d41ed1
FirstSetPointSeq(hex)
:0
LastSetPointSeq(hex)
:0
Overlap :0
根因防火墙默认开启链路状态检测功能,如果TCP会话已经老化,那么该TCP连接的后续报文到达防火墙时,就会被防火墙丢弃。防火墙TCP默认老化时间为1200秒(20分钟),在没有报文交互的20分钟后,TCP会话就会被清除。此后,如果终端直接发送TCP载荷报文(非syn,syn ack报文),就会被防火墙链路状态检测认为为非法报文而丢弃。
解决方案关闭SVN和防火墙的状态检测机制功能。
END
